OPS01-BP03 ガバナンス要件を評価する
ガバナンスとは、企業がビジネス目標を達成するために使用する、ポリシー、ルール、フレームワーク一式です。ガバナンス要件は、組織内から生まれます。選択する技術の種類に影響する場合も、ワークロードを運用する方法に関連する場合もあります。組織のガバナンス要件を、ワークロードに組み込みます。コンフォーマンスとは、ガバナンス要件が組み込まれていることを示す能力のことです。
期待される成果:
-
ガバナンス要件が、アーキテクチャの設計およびワークロードのオペレーションに組み込まれています。
-
ガバナンス要件に従っている証拠を提供できます。
-
ガバナンス要件は定期的に見直され更新されています。
一般的なアンチパターン:
-
組織が、ルートアカウントを多要素認証とすることを義務としている。この要件を実装できなかったため、ルートアカウントが侵害された。
-
ワークロードの設計中に、IT 部門が承認していないインスタンスタイプを選択した。ワークロードを起動できず、再設計を行わなければならなくなった。
-
ディザスタリカバリ計画を備えることが必須となっている。計画を作成しなかったため、ワークロードの停止が長引いた。
-
チームは新しいインスタンスの使用を希望していたが、ガバナンス要件が更新されていないため、許可されなかった。
このベストプラクティスを活用するメリット:
-
ガバナンス要件に従うと、ワークロードを組織のより大きなポリシーに合わせることができます。
-
ガバナンス要件は、業界の標準と組織のベストプラクティスを反映しています。
このベストプラクティスが確立されていない場合のリスクレベル: 高
実装のガイダンス
関係者やガバナンス組織と協力して、ガバナンス要件を特定します。ガバナンス要件をワークロードに含めます。ガバナンス要件に従っている証拠を提供できるようにします。
お客様事例
AnyCompany Retail では、クラウドオペレーションチームが組織全体の関係者と協力して、ガバナンス要件を作成しました。例えば、Amazon EC2 インスタンスへの SSH アクセスを禁止しています。チームがシステムにアクセスする必要がある場合、AWS Systems Manager Session Manager を使用する必要があります。クラウドオペレーションチームは、新しいサービスを利用できるようになるたびに、ガバナンス要件を定期的に更新しています。
実装手順
-
一元化されたチームがあればそれも含め、ワークロードの関係者を特定します。
-
関係者と協力して、ガバナンス要件を特定します。
-
リストを作成したら、改善項目に優先順位を付け、ワークロードへの実装を開始します。
-
AWS Config
などのサービスを使用して、Governance-as-Code を作成し、ガバナンス要件に従っていることを検証します。 -
AWS Organizations を使用する場合は、サービスコントロールポリシーを活用してガバナンス要件を実装できます。
-
-
実装を検証するドキュメントを提供します。
実装計画に必要な工数レベル: 中。ガバナンス要件を満たさずに実装すると、ワークロードをやり直すことになる場合があります。
リソース
関連するベストプラクティス:
-
OPS01-BP04 コンプライアンス要件を評価する - コンプライアンスはガバナンスに似ていますが、組織外に由来するものです。
関連するドキュメント:
-
AWS Management and Governance Cloud Environment Guide (AWS の管理およびガバナンスに関するクラウド環境ガイド)
-
Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment
(マルチアカウント環境の AWS Organizations サービスコントロールポリシーのためのベストプラクティス) -
Governance in the AWS クラウド: The Right Balance Between Agility and Safety
(AWS クラウドのガバナンス: 俊敏性と安全性のバランスを取る)
関連動画:
-
AWS Management and Governance: Configuration, Compliance, and Audit - AWS Online Tech Talks
(AWS の管理とガバナンス: 設定、コンプライアンス、監査 - AWS Online Tech Talks) -
AWS re:Inforce 2019: Governance for the Cloud Age (DEM12-R1)
(AWS re:Inforce 2019: クラウド時代のガバナンス (DEM12-R1)) -
AWS re:Invent 2020: Achieve compliance as code using AWS Config
(AWS re:Invent 2020: AWS Config を使用してコードとしてのコンプライアンスを実現する) -
AWS re:Invent 2020: Agile governance on AWS GovCloud (US)
(AWS re:Invent 2020: AWS GovCloud (US) における俊敏なガバナンス)
関連する例:
関連サービス: